O Container Registry será descontinuado. A partir de 18 de março de 2025, o Container Registry será desativado, e a gravação de imagens nele não estará disponível. Para mais informações sobre a descontinuação do Container Registry e como migrar para o Artifact Registry, consulte Descontinuação do Container Registry.
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, você encontra informações sobre práticas recomendadas para criar e executar
imagens de contêiner.
Como criar contêineres
A abordagem que você adota para criar imagens de contêiner pode afetar a velocidade de builds e implantações, bem como o esforço necessário para manter suas imagens.
Ao usar imagens de fontes públicas, como o Docker Hub, você
introduz código que sua organização não controla na cadeia de suprimentos de
software. Para reduzir os riscos, faça o seguinte:
Crie suas próprias imagens para controlar o conteúdo delas.
Use uma imagem de base padronizada e crie com base nela.
Verificar vulnerabilidades em imagens e corrigir as identificadas.
Aplique padrões e políticas nas imagens implantadas.
Como tornar seus registros públicos
É possível tornar o registro no projeto Google Cloud público concedendo acesso de leitura ao bucket de armazenamento do registro para a identidade allUsers.
Se todos os seus usuários tiverem contas Google Cloud , limite o acesso
a usuários autenticados com a identidade allAuthenticatedUsers.
Considere as seguintes diretrizes antes de tornar um registro público:
Verifique se todas as imagens armazenadas no registro podem ser compartilhadas publicamente e não expõem credenciais, dados pessoais ou confidenciais.
Você recebe uma cobrança pela saída de rede quando os usuários extraem imagens.
Se você espera um grande volume de tráfego de download da Internet, considere os custos associados.
Por padrão, os projetos têm uma cota por usuário ilimitada.
Para evitar abusos, limite as cotas por usuário no seu projeto.
Remover imagens não usadas
Remova imagens de contêiner não usadas para reduzir os custos de armazenamento e mitigar os riscos de
usar software mais antigo. Há várias ferramentas disponíveis para ajudar com
essa tarefa, incluindo o gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial do Google.
Como avaliar a segurança do contêiner
O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar
a segurança de um contêiner do Docker.
O Docker fornece um script de código aberto chamado Docker Bench for Security.
Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado
do CIS do Docker.
O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado
do CIS do Docker, mas nem todos os itens são verificáveis com o script.
Por exemplo, o script não pode verificar se o host do contêiner está mais protegido
ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no
comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.
Como proteger implantações
Saiba como criar uma cadeia de suprimentos de software segura e
como usar a verificação de vulnerabilidades e a autorização binária no Google Cloud para definir
e aplicar políticas de implantação.
Você também pode assistir um vídeo que descreve como proteger sua cadeia de suprimentos de software.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[[["\u003cp\u003eThis page details best practices for building and managing container images, which directly impacts build and deployment speed, as well as maintenance efforts.\u003c/p\u003e\n"],["\u003cp\u003eWhen using images from public sources, it is recommended to build your own, use a standardized base image, scan for vulnerabilities, and enforce deployment policies to enhance security.\u003c/p\u003e\n"],["\u003cp\u003eBefore making registries public, ensure images are shareable, be aware of network egress costs, and consider capping per-user quota to prevent abuse.\u003c/p\u003e\n"],["\u003cp\u003eRemoving unused container images helps reduce storage costs and mitigate risks associated with using outdated software.\u003c/p\u003e\n"],["\u003cp\u003eUtilizing tools like Docker Bench for Security can help assess and improve the security of Docker containers, though some aspects require manual verification.\u003c/p\u003e\n"]]],[],null,["# Best practices for containers\n\nThis page provides information about best practices for building and running\ncontainer images.\n\nBuilding containers\n-------------------\n\nThe approach that you take to building container images can impact the\nspeed of builds and deployments, as well as the effort required to maintain\nyour images.\n\nRead the [Docker best practices](https://docs.docker.com/develop/develop-images/dockerfile_best-practices/) for building images.\n\nConsiderations for public registries\n------------------------------------\n\nCarefully consider the following cases:\n\nUsing images from public sources\n\n: When you use images from public sources such as Docker Hub, you are\n introducing code that your organization does not control into your software\n supply chain. To mitigate risk, you can:\n\n - Build your own images to control image content.\n - Use a standardized base image and build on top of that image.\n - Scan images for vulnerabilities and address identified vulnerabilities.\n - Enforce standards and policies on images you deploy.\n\nMaking your registries public\n\n: You can make the registry in your Google Cloud project public by granting\n read access on the registry storage bucket to the `allUsers` identity.\n\n If all your users have Google Cloud accounts, you can limit access\n to authenticated users with the `allAuthenticatedUsers` identity instead.\n\n Consider the following guidelines before making a registry public:\n\n - Verify that all images you store in the registry are sharable publicly and do not expose credentials, personal data, or confidential data.\n - You are charged for [network egress](/container-registry/docs/pricing) when users pull images. If you expect a lot of internet download traffic, consider the associated costs.\n - By default, projects have unlimited per-user [quota](/container-registry/quotas). To prevent abuse, [cap](/docs/quotas/view-manage#capping_usage) per-user quotas within your project.\n\nRemoving unused images\n----------------------\n\nRemove unused container images to reduce storage costs and mitigate the risks of\nusing older software. There are a number of tools available to help with\nthis task, including [gcr-cleaner](https://github.com/sethvargo/gcr-cleaner). The gcr-cleaner tool is not an official Google product.\n| **Warning:** Do not use Cloud Storage \\[object lifecycle management\\] with Container Registry storage buckets. Lifecycle management does not work with images stored in Container Registry.\n\nAssessing container security\n----------------------------\n\nThe Center for Internet Security (CIS) has a [Docker Benchmark](https://www.cisecurity.org/benchmark/docker/) for evaluating\nthe security of a Docker container.\n\nDocker provides an open source script called [Docker Bench for Security](https://github.com/docker/docker-bench-security).\nYou can use the script to validate a running Docker container against the CIS\nDocker Benchmark.\n\nDocker Bench For Security can help you verify many items in the CIS Docker\nBenchmark, but not all items are verifiable with the script.\nFor example, the script cannot verify if the host for the container is hardened\nor if the container image includes personal data. Review all items in the\nbenchmark and identify those that might need additional verification.\n\nSecuring deployments\n--------------------\n\nLearn about building a [secure software supply chain](/software-supply-chain-security/docs/overview) and\nhow to use vulnerability scanning and Binary Authorization on Google Cloud to define\nand enforce policies for deployment.\n\nYou can also watch a video that describes securing your software supply chain."]]
